9月12日、広く使用されているJavaロギングライブラリであるlog4jのCVE 2021-44228が公開されました。その後、CVE-2021-45046およびCVE-2021-45105も公開されています。これらの脆弱性について、またDiscourseに影響があるかどうかについて、多くのお問い合わせをいただいております。
DiscourseはRubyアプリケーションであり、したがってこのJavaライブラリを一切使用していません。さらに、セルフホスト型インストールのための標準インストール手順にはJavaコンポーネントは含まれていません。
Managed discourse.org ホスティング
Managed discourse.orgホスティングサービスの一環として、Jenkins、Elasticsearch、Logstash、Kibanaなど、少数のJavaベースのアプリケーションを使用しています。脆弱性に気づき次第、開発者のアドバイザリに基づいて、これらのコンポーネントすべてを確認しました。
報告を受けて、完全なセキュリティ評価を実施しました。
- log4jの脆弱性の影響を受ける可能性のある現在実行中のソフトウェアの監査
- 潜在的な脆弱性の影響の監査
- ログ分析
Jenkins、Elasticsearch、Kibanaのバージョンは、脆弱性の影響を受けませんでした。Logstashのバージョンは、特定の条件下でサービス拒否攻撃に対して脆弱であった可能性がありますが、広く報告されているリモートコード実行の脆弱性に対しては脆弱ではありませんでした。
これらのコンポーネントはすべて最新バージョンに更新され、現在最新バージョンのLog4j(2.17)を実行しています。詳細については、Elasticのセキュリティアドバイザリ、およびJenkinsのブログ投稿をお読みください。
情報は急速に進化しています。ニュースを注視しており、必要と判断された場合はさらに更新します。
また、機密性の高いベンダーにおけるlog4jの修正状況も検証しました。以下は、ベンダーが公開した通知の一部です。
- Stripe - Apache Log4j脆弱性に関するアップデート
- Google Cloud - Apache Log4j 2の脆弱性
- AWS - Apache Log4j2の問題に関するアップデート
一部のベンダーには個別に連絡しました。